今日は朝から表題の勉強会に参加しました。
朝の「目覚ましの会」では miryu さんの iisec 原田研究室の調査についての話が面白かったですね。クラウド、クラウドと騒がれても経営者の意識がそう変わってる訳では無いのだなあ。あと totoro さんの、先日のブラウザー勉強会での話の続きも興味深い、というか先行きが非常に心配です。この手のやり方が蔓延すると結構大変かも。
さて午後の勉強会や懇親会で話題のパスワードの話ですが、私はこちらやこちらで徳丸さんが書いているように、プルートフォースに対する対策としてのパスワードの定期変更は労多くして実りの少ない方法ではないかと思います。その点に関しては徳丸さんの論旨に同意です。ただし、それではパスワードを変更する必要が全くないのか、というとそれは違うのではないかとも思います。今日の勉強会・懇親会でも何人かの方とお話ししたのですが、パスワードの変更はカジュアル ハッキングに対しては非常に有効であり、その危険が高い場合にはぜひ変更すべきだと思います。
実際に報告されているアカウントの不正利用でも身内や友人知人 (あるいは元身内、元友人知人) の犯行である場合が少なくありません。いくら複雑で長いパスワードを利用していても、日常的に濃密に接触している他人に知られてしまう可能性は時間の経過と共に大きくなるでしょう。こうしたパスワードの「漏洩」に対してはパスワードの定期的な変更は非常に有効な対策です。また人間関係が大きく変わった場合 (例えば転職や友人・知人との喧嘩別れ、または離婚とか...) にはそれまでの「善良な隣人」が「悪意のある第三者」に豹変する可能性もありますから、以前の人間関係の環境で利用していたパスワードの変更は必要でしょう。
なおこうした説明はセキュリティーに理解のある人同士でしている分にはあまり抵抗が無いかもしれませんが、平均的なユーザーにパスワードの利用について説明する場合にはちょっと難しいかもしれません。その意味で、一般的な解説として「パスワードの変更はセキュリティー対策になる」と説明する事は致し方ないのかなあとは思います。なかなか微妙な問題とは思いますが....。